請你上服務(wù)器手工運行以下補丁程序:
1. 打開附件:
udp.rar(點擊下載)
2. 解壓后修改:chgdns.vbs 將Const T_NEWDNS記錄修改成服務(wù)器所用的DNS
3. 解壓后雙擊"udp.bat"即可自動創(chuàng)建安全規(guī)則。
若要核實安全規(guī)則是否創(chuàng)建成功,您可點擊開始-程序-管理工具-本地安全策略-IP安全策略,若存在“DropUDP”則表明安全策略創(chuàng)建成功, 若您是Linux主機,請使用iptables自行創(chuàng)建相關(guān)規(guī)則。
特別提醒:因為病毒對網(wǎng)絡(luò)影響很大,特別是用了dede CMS系統(tǒng)的,更要注意,最近90%攻擊源來自這個系統(tǒng),他有個漏洞已公開可上傳腳本木馬.
防止php木馬
1、防止跳出web目錄
首先修改httpd.conf,如果你只允許你的php腳本程序在web目錄里操作,還可以修改httpd.conf文件限制php的操作路徑。比如你的web目錄是/usr/local/apache/htdocs,那么在httpd.conf里加上這么幾行:
php_admin_value open_basedir /usr/local/apache
/htdocs
這樣,如果腳本要讀取/usr/local/apache/htdocs以外的文件將不會被允許,如果錯誤顯示打開的話會提示這樣的錯誤:
Warning: open_basedir restriction in effect. File is in wrong directory in
/usr/local/apache/htdocs/open.php on line 4
等等。
2、防止php木馬執(zhí)行webshell
打開safe_mode,
在,php.ini中設(shè)置
disable_functions= passthru,exec,shell_exec,system
二者選一即可,也可都選
3、防止php木馬讀寫文件目錄
在php.ini中的
disable_functions= passthru,exec,shell_exec,system
防內(nèi)網(wǎng)攻擊
disable_functions= passthru,exec,shell_exec,system,stream_socket_server,fsocket,fsockopen
后面加上php處理文件的函數(shù)
主要有
fopen,mkdir,rmdir,chmod,unlink,dir
fopen,fread,fclose,fwrite,file_exists
closedir,is_dir,readdir.opendir
fileperms.copy,unlink,delfile
即成為
disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir,fopen,fread,fclose,fwrite,file_exists
,closedir,is_dir,readdir.opendir,fileperms.copy,unlink,delfile
PHP腳本DDOS攻擊的原因及php腳本部分源碼:
1. $fp = fsockopen("udp://$ip", $rand, $errno, $errstr, 5);
2. if($fp){
3. fwrite($fp, $out);
4. fclose($fp);
php腳本中的 fsockopen 函數(shù),對外部地址,通過UDP發(fā)送大量的數(shù)據(jù)包,攻擊對方。
解決方案:可通過 php.ini ,禁用 fsockopen 函數(shù),及使用Windows 2003的 安全策略 屏蔽本機的UDP端口。
1、禁用 fsockopen 函數(shù) 。
查找到 disable_functions ,添加需禁用的函數(shù)名,如下:
1. passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,
2. readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen
重啟IIS后即可生效。
防UDP 等對外攻擊,可以使用下面的代碼。
disable_functions=passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,
ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen
以上操作可完全阻止php木馬,但是利用文本數(shù)據(jù)庫的那些東西就都不能用了。
如果是在windos平臺下搭建的apache我們還需要注意一點,apache默認運行是system權(quán)限,我們可以給apache降降權(quán)限。
net user apache fuckmicrosoft /add
net localgroup users apache /del
我們建立了一個不屬于任何組的用戶apche。
我們打開計算機管理器,選服務(wù),點apache服務(wù)的屬性,我們選擇log on,選擇this account,我們填入上面所建立的賬戶和密碼,重啟apache服務(wù),這樣,apache就在低權(quán)限下運行了。